Purchase Order : 130487833 von [email protected] ([email protected]) oder AEO604383 von [email protected] ([email protected]) bringt eine bösartige Software!

Am Dienstag, den 31. Oktober 2017 (Reformationstag und Halloween) wurde durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Achtung: Die E-Mails stammen nicht von den genannten Absendern! Klicken Sie nicht auf den Link und öffnen Sie nicht das Word-Dokument! Ein Makro im Word-Dokument lädt das Trojanische Pferd (‚Emotet‘) nach, welches den PC infiziert! 

Betreff: Purchase Order : 130487833
Absender: [email protected] ([email protected])

Hello (Vorname Nachname),

Please open the attached document. This document was digitally sent to you using an HP Digital Sending device.

View your receipt here:
http://frank-hetkamp.de/OIMMR507116825/

Kind Regards,

[email protected]

Do not reply to this email address. This email address is not monitored and you will not get a reply.

oder

Betreff: AEO604383
Absender: [email protected] ([email protected])

 

Good Day (Vorname Nachname),

Please see attached purchase order AEO604383. Please confirm or update due date and prices.

See your detailed information below:
http://eibensang.de/Statement/

With gratitude,

[email protected]

Do not reply to this email mailbox. This email address is for sending purposes only and you will not get a response.

Achtung: Es handelt sich um eine betrügerisch E-Mail! Die E-Mail stammt nicht von dem genannten Absender! Klicken Sie nicht auf den Link!

Der Link in der E-Mail verweist auf die Adressen

  • frank-hetkamp.de/OIMMR507116825/
  • eibensang.de/Statement/

Von den Adressen wird eine Microsoft Word – Datei geladen:

New payment details and address update.doc

Money transfer details.doc

Öffnen Sie nicht die Dateien!

Die .doc-Dateien enthalten ein bösartiges Makro! Die Microsoft Word – Dateien würden so aussehen:

Microsoft Office

Word experienced an error trying to open the file. Try these suggestions.

* Please enable content to see this document.
* If the file opens in Protected View, click Enable Editing, and then click Enable Content.
* You are attempting to open a file that was created in an earlier version of Microsoft Office.
* Make sure there is sufficent free memory and disk space.
* Check the file permissions for the document or drive.

Das gefälschte Dokument behauptet, die Bearbeitung sowie Inhalte müssten aktiviert werden, damit das Dokument betrachtet werden kann. Das stimmt aber nicht! Es handelt sich um eine gefälschte Information! Klicken Sie weder auf „Bearbeitung aktivieren“, noch auf „Inhalt aktivieren“.

Das bösartige Makro würde von der Domain my-computershop.de/PgXzRny/ eine Datei laden.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.